http://www.bloter.net/archives/37504
다수의 안드로이드앱이 사용자들의 단말기 고유번호를 수집하고 있는 것으로 드러났다. 한 보안업체가 집계한 결과 3G 단말기의 식별번호인 IMEI를 수집하는 안드로이드 앱이 국내외 100개가 넘는 것으로 밝혀졌다. 일부 앱은 IMSI나 USIM 시리얼번호 등 USIM에 저장된 각종 정보까지 수집하고 있는 상황에서 국내서도 이런 정보를 수집하는 앱들이 나오고 있어 법적으로 논란의 소지를 띄고 있다.
-----------------
어느쪽 말이 맞는지?
필요악이라 생각합니다. 악용될 여지는 있지만 구글에서 해당 API를 정식으로 제공하는 이유가 있겠죠.
아이디 패스워드 형식으로 사용자 인증을 할 경우 그 아이디와 패스워드를 공유하면 특정사이트의 컨텐츠를 모두 사용가능합니다.
그래서 단말의 유니크 값도 따로 구해서 이 유니크 값이 변경될 경우 별도의 처리를 해 주어야 합니다.
안드로이드에서 구할 수 있는 단말 유니크 값이 이 IMSI이나 USIM 시리얼 번호이구요.
또한 국산 앱의 경우 통신사에 의존하는게 다소 있으며, 이 경우 IMSI 같은 것으로 사용자 조회나 구매연동을 하기 쉬워 사용자의 편의성(?)도 약간은 향상 시킬수 있습니다.
불법복제나 아이디 공유같은게 없으면 고유키를 수집할 이유도 없고 금지가 가능하겠져...
그게 안되니까 고유키를 수집하는거고... api로 공개된걸 쓰는게 법적으로 문제가 될건 없습니다.
그걸 수집과 허용된 앱의 사용 범위 밖에서 부정한 용도로 사용할 경우 법적인 문제가 될거고...
프로그램내에서 IMSI값을 가져와서 MD5같은 Hash함수를 사용해 썻더라면 좋았을텐데 아쉽네요.
그런데 이렇게 쓰더라도 VGuard에선 위험이 있다고 나왔겠죠.
vguard 만든 회사에 대학 동기가 다니고 있는데 들어보니
저 증권사에서 개인정보와 IMEI, USIM번호까지 빼간후 암호화도 자기들이 풀수 있는 암호로 쓴 걸 vguard에서 경고창 띄우니까
자기들이 소유하고 있는 언론사를 이용해서 이것저것 다 차단한다고 언플한거라고 하더군요.
참고로 네이트도 저런 경고창 떠서 네이트 측에서 전화와서 문의 후 네이트를 고쳤다고 하더군요
어쩌면 '펠리컨 브리프' 같은 글이 될지 모르겠으나, 한번 추측해봅니다.
첫번째로, 구글에서 IMEI 를 얻을 수 있는 API 를 제공한다고 해서, 한국에서 IMEI 를 수집해도 된다는 것은 논리의 비약이 있는거 같습니다.
미국의 통신시장과 우리나라의 통신시장은 차이가 있고, 미국에는 미국나름의 국내법이 있을 것이고, 우리는 우리만의 국내법이 있으므로, 법의 테두리에서 개발하는게 옳을듯 합니다. ( Android 가 들어간 모든 나라에서 같을 겁니다. )
안드로이드 마켓의 게임 카테고리가 막히고, 마켓에서 유료앱을 팔지 못하고, 미국에서 잘 되는 구글 서비스들이 우리나라에서 막히는 건 국내법이 있기 때문 아니겠습니까?
두번째, 구글은 개인정보 수집때문에 현재 소송에 걸려있는 상태입니다.
구글이 소송당한 '개인정보'와 여기서 얘기하는 '개인정보' 는 확실히 다르긴 합니다만,
저처럼, 신문을 꼼꼼히 읽지 않고, 대충 헤드라인만 보는 개발자들은 아마도, 개인정보 수집했다가는 큰일 나겠구나 하지 않을까요?
'일벌백계'
구글을 때리고, 일반 개발자들을 계도하는거 아닌가 싶습니다.
개인정보 수집했다고, 집단소송이라도 당하면 웬만한 대기업아닌 다음에는 버티기 쉽지 않을 거입니다.
( 미국에서 부자되는 법은 소송하는 것이다, 라는 우스개 소리가 있듯이 벤쳐기업이 소송당하면 회생불가능일 듯. )
3. 안드로이드의 보안 문제는 상당히 심각하다고 생각하고 있습니다.
여기에서 활동하시는 여러분들이 문제가 아니라, 스마트폰을 잘 모르시는 우리네 부모님들, 중고등학생들, 그리고 전산과 관련없는 친구들이 범죄 대상이 될까봐 두려운 것이죠.
4. "나만 아니면 돼!" 라던가 "집에 인터넷 선 뽑고 사시죠?" 등의 개인 이기주의와 비아냥 보다는 좀 건설적인 안펍이 됐으면 하는 바램입니다. ( 여기... 예전같지 않습니다. 쩝 )
구글에서 API를 제공한다고 해서 문제가 없지 않다는 것에 동의합니다. 어쨌든 IMEI와 USIM에서 정보를 빼내는 것이 국내법에 저촉된다면 잘못된 거죠. 하지만 이 건을 구글의 개인정보 수집 관련 소송과 연관짓는 것은 비슷한 정도로 논리의 비약인 것 같습니다. 근본적으로 전혀 다른 문제고, 백계를 한다고 하시지만 누가, 누구에게 그렇게 하는지 주체도 대상도 명확하지 않습니다.
안드로이드가 타 플랫폼에 비해 악성코드에 노출될 가능성이 높은 것도 사실입니다. 이 점은 제조사들이나 구글이나 홍보를 통해서 사용자들에게 숙지시킬 필요가 있다고 봅니다. 단지 인터넷에서도 '안드로이드는 보안상 취약한 운영체제니까 조심해야 한다' 같이 막연한 불안감을 심어줄 것이 아니라, 아이폰처럼 누군가 알아서 지켜주지 않기 때문에 올바른 경로를 통해서만 앱을 구하고, 앱의 권한 정보를 확인하고, 사용기를 확인해서 악성코드가 설치될 위험을 최대한 줄일 수 있도록 하는 방향으로 이끌어 주는 것이 좋겠죠. 그냥 '상당히 심각하다고 생각한다' 로 끝나 버리면 아무것도 안 되지 않겠습니까.
이번 문제는 우선 저 앱에서 IMEI와 USIM 관련 정보를 빼낸 것이 국내법에 저촉되는지부터 확인해야 한다고 봅니다. 일단
앱의 권한 목록에는 폰의 ID 정보를 가져온다고 명시해 놓았기 때문에 '사용자의 동의 없이'는 엄밀히 말해 아니라고 봅니다만,
사전에 저 항목이 의미하는 바를 구체적으로 설명하지 않았기 때문에 또 다른 해석이 있을 수도 있겠죠. 그리고 그 다음으로 해당
정보들이 정말로 심각한 보안 문제를 일으킬 수 있느냐 하는 점을 확인해야 합니다. vguard CEO라는 분의 블로그 글을 보니
중국에서 그런 정보들을 사들여 핸드폰 복제에 사용한다거나, 건당 10,000원씩에 팔면 30억이라는 식의 다소 자극적인 이야기를 써
놓았던데, 정말로 해당 정보들 만으로 핸드폰 복제가 가능한지, 이용자 사칭이 가능한지 확인해 봐야 할 것 같습니다.
^_^;
저도 제 의견의 당위성을 위하여 좀 일부러 과장하였습니다. 정확히 보셨네요.
제가 생각하는 한국의 저력중에 하나가 이런 것입니다.
'훌륭한 소비시장'이라고 할까요?
새로운 신기술을 받아들이는 속도가 상당히 빠르고,
그에 대한 문제점들도 다른 나라보다 빠르게 접하고,
해결방안은...... 음...... 음....... 이건 좀 느리죠? ^^;;; (신중하고, 선례가 없기 때문이겠지요. )
해결방안 도출마져 빠르게 된다면, 기술선진국이 될 수도 있을텐데요... 아쉬운 부분입니다.
안펍에서 이러한 논의를 계속해서, Main Stream 으로 이끌 수 있다면, 그래서 해결방안 빨리 마련하는데 도움이 된다면 좋겠습니다.
제가 안펍에 바라는 바입니다. ^__^
기사중에
"일례로 해외에서 수입한 단말기를 전파인증을 받지 않고 IMEI 번호를 변경해 국내 통신사의 USIM을 꽂아서 사용하는 방식으로 악용될 가능성이 있다. 국내 통신사의 휴대폰 인증 방식이 IMEI 화이트리스트 기반이기 때문이다."
이게 가능한건가요...?
화이트리스트는 모든 기기를 등록해서 등록안된 기기는 통화불가능하게 하는거인걸로 아는데
기사의 저방식은 블랙리스트 아닌가요,,?